Um novo malware para Android está drenando todo o conteúdo de carteiras de criptomoedas sem deixar qualquer vestígio.
- Vírus disfarçado de WhatsApp rouba SMS e códigos de verificação bancária
- Malware se disfarça de WhatsApp, TikTok e YouTube no Android para te espionar
A campanha foi identificada pela empresa de cibersegurança Cyfirma, que detectou um trojan bancário afetando usuários do sistema operacional do Google na Indonésia e outros países do sudeste asiático.
Embora tenha uma ação parecida com a de um malware comum, o novo software malicioso apresenta o diferencial de agir silenciosamente, já que foi projetado para desativar e ocultar qualquer tipo de notificação que alerte o usuário para movimentações suspeitas.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Com esse empecilho para detectar o roubo, a vítima não percebe que atividades criminosas, como transações e saídas de fundos, estão acontecendo na conta bancária em segundo plano, o que pode provocar grandes estragos.
Perigo disfarçado
Conforme identificado pela Cyfirma, o malware, que está sendo chamado de “Android/BankBot-YNRK“, aproveita os recursos de acessibilidade do Android para permitir que os cibercriminosos obtenham controle absoluto do dispositivo.
É assim que dados bancários, senhas e chaves de criptomoedas são roubados pelos hackers sem que a vítima perceba, pois o software consegue ocultar suas atividades do usuário mesmo com uma possível reinicialização do aparelho.
Análises mais aprofundadas da empresa também detectaram que o trojan age principalmente em dispositivos com Android 13 e inferiores, que oferecem os elementos de permissões necessários para o acesso dos criminosos.
Apesar do relatório da Cyfirma não especificar exatamente como o malware está sendo distribuído, descobriu-se três amostras do software malicioso em páginas falsas que imitavam com precisão a interface do “Identitas Kependudukan Digital“, nome dado à versão digital do documento de identidade na Indonésia.
A prática sugere, então, que o vírus chega até o dispositivo a partir da instalação manual de APKs quando o usuário faz o download fora das lojas oficiais de aplicativos. Assim que a instalação é finalizada, o malware pede autorização para acessar o dispositivo, usando a legitimidade governamental para enganar a vítima com uma simulação de verificação de dados pessoais.
Logo, enquanto faz o usuário esperar pela verificação, o software desativa todo e qualquer recurso de áudio, incluindo chamadas, notificações e mensagens. Em segundo plano, o vírus rouba informações bancárias para limpar carteiras de criptomoeda, além de cometer outros crimes durante a ação do malware.
Imagens em tempo real
Desativar alertas de notificação para passar despercebido não é a única ação preocupante do Android/BankBot-YNRK. A Cyfirma também descobriu que o malware tem a capacidade de capturar imagens em tempo real do dispositivo infectado.
Isso faz com que o criminoso por trás do ataque consiga mapear o layout dos aplicativos bancários no aparelho, localizando com facilidade as senhas e outros botões importantes para liberar o acesso. Assim, é possível automatizar tudo sem o consentimento do usuário, desde o roubo das credenciais de acesso da carteira até grandes transações bancárias.
Bitcoin, Ethereum, Litecoin e Solana estão entre alguns dos principais interesses do malware.
Leia também:
- Spyware, ransomware e ladrão de senhas: novo vírus para Android é “tudo em um”
- Malware para Android espiona apps de banco para roubar dados
- Novas proteções do Android não adiantam se o usuário cair neste golpe
Leia a matéria no Canaltech.
